que es firewal e ips
DESCRIPTION
Que es un firewall e ips conceptos y ejemplosTRANSCRIPT
Juan Antonio Hervert León
UTVM Materia Optativa
INVESTIGACIÓN III UNIDAD REDES
pág. 1
Contenido ¿Qué es un firewall? ............................................................................................................................ 2
Evolución de Firewall .......................................................................................................................... 3
Primera generación – cortafuegos de red: filtrado de paquetes .................................................... 3
Segunda generación – cortafuegos de estado ................................................................................ 4
Tercera generación - cortafuegos de aplicación ............................................................................. 4
TIPOS DE FIREWALL PARA LA INDUSTRIA............................................................................................ 5
Firewall por Software ...................................................................................................................... 5
Firewall por Hardware ..................................................................................................................... 6
Firewall por Software comercial ..................................................................................................... 6
Firewalls para la vigilancia del tráfico saliente ................................................................................ 6
Inspección del contenido de la capa de aplicación ......................................................................... 7
Firewalls para aplicaciones web ...................................................................................................... 7
Implementaciones de firewalls virtuales ........................................................................................ 8
¿QUE ES UN IPS? ................................................................................................................................. 8
Clasificacion de IPS ............................................................................................................................ 10
MECANISMOS DE INTRUSION DE UNA RED ...................................................................................... 10
Objetivos ....................................................................................................................................... 11
Tipos .............................................................................................................................................. 12
Referencias ........................................................................................................................................ 13
pág. 2
¿Qué es un firewall?
Un firewall es software o hardware que comprueba la información procedente de
Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo,
en función de la configuración del firewall. Un firewall puede ayudar a impedir que
hackers o software malintencionado (como gusanos) obtengan acceso al equipo a
través de una red o de Internet. Un firewall también puede ayudar a impedir que el
equipo envíe software malintencionado a otros equipos.
En la siguiente ilustración se muestra el funcionamiento de un firewall.
Ilustración donde se muestra la barrera creada por un firewall entre Internet y el
equipoUn firewall crea una barrera entre Internet y el equipo, igual que la barrera
física que constituiría una pared de ladrillos.Un firewall no es lo mismo que un
programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall
como un programa antivirus y antimalware.
pág. 3
Evolución de Firewall
El término firewall / fireblock significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología
de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología
bastante nueva en cuanto a su uso global y la conectividad.
Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data de 1988. El filtrado
de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red
y las capas físicas.7 Cuando el emisor origina un paquete y es filtrado por el
cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva
configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el
paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo
y un número de puerto base (GSS).
pág. 4
Segunda generación – cortafuegos de estado
Durante 1989 y 1990, desarrollaron la segunda generación de servidores de
seguridad. Esta segunda generación de cortafuegos tiene en cuenta, además, la
colocación de cada paquete individual dentro de una serie de paquetes. Esta
tecnología se conoce generalmente como la inspección de estado de paquetes, ya
que mantiene registros de todas las conexiones que pasan por el cortafuegos,
siendo capaz de determinar si un paquete indica el inicio de una nueva conexión,
es parte de una conexión existente, o es un paquete erróneo. Este tipo de
cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos
ataques de denegación de servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de
un cortafuegos de aplicación es que puede entender ciertas aplicaciones y
protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación
web), y permite detectar si un protocolo no deseado se coló a través de un puerto
no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con
un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del
modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de
paquetes, con la diferencia de que también podemos filtrar el contenido del paquete.
pág. 5
El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and
Acceleration).
Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales
como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS).
TIPOS DE FIREWALL PARA LA INDUSTRIA
Firewall por Software
Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no,
en la computadora. Son también llamados 'desktop firewall' o 'software firewall'.
Son firewalls básicos que monitorean y bloquean, siempre que necesario, el tráfico
de Internet.
Casi todas las computadoras vienen con un firewall instalado, Windows XP y
Windows Vista lo traen.
Las características de un firewall por software son:
Los gratuitos se incluyen con el sistema operativo y normalmente son para
uso personal
Pueden ser fácilmente integrados con otros productos de seguridad
No necesita de hardware para instalarlo en la computadora
pág. 6
Es muy simple de instalar, normalmente ya viene activado y el Sistema
Operativo alerta cuando no tenemos ningún tipo de firewall en
funcionamiento.
Un firewall de este tipo es el básico que debe existir en una computadora y
no hay razones que justifiquen la no utilización de, por lo menos, un desktop
firewall.
Firewall por Hardware
Una firewall por Hardware viene normalmente instalado en los routers que
utilizamos para acceder a Internet, lo que significa que todas las computadoras que
estén detrás del router estarán protegidas por un firewall que está incluído en el
dispositivo. La mayoría de los routers vienen con un firewall instalado.
La configuración de un firewall por hardware es más complicada que una instalación
de un firewall por software y es normalmente realizada a través del navegador que
se utiliza para acceder a Internet.
La diferencia de precio entre un router con firewall y un router sin firewall es muy
pequeña, por eso es recomendable comprar un firewall con esta protección.
Es posible tener un firewall por hardware y un firewall por software activos
simultáneamente para lograr una mayor protección.
Firewall por Software comercial
Un firewall comercial funciona de la misma forma que uno gratuito (como el de
Windows), pero normalmente incluye protecciones extra y mucho más control sobre
su configuración y funcionamiento.
Firewalls para la vigilancia del tráfico saliente
En entornos corporativos, sin embargo, donde los firewalls están diseñados para
controlar acceso entrante y saliente de los entornos, el acceso web saliente es
permitido tradicionalmente sin oposición. Esto expone a la corporación al malware,
a través de amenazas provenientes del cliente y dirigidas al navegador de un
usuario. Para contrarrestar esta amenaza, los productos de firewalls más
pág. 7
tradicionales han sido ampliados con funciones de gestión de acceso a Internet (en
línea o basados en proxy) que controlan específicamente el acceso saliente.
Esto es porque, aunque el firewall puede controlar a qué usuarios permitir acceso
dentro de una corporación, no son suficientes para controlar el contenido al que se
accede. Puesto que los ataques provenientes del cliente son una gran amenaza en
las empresas, tal protección actualizada es crucial.
Inspección del contenido de la capa de aplicación
Los proveedores tradicionales de firewall están ofreciendo herramientas que
ofrecen inspección del contenido de la capa de aplicación combinado con antivirus:
capacidades de detección de malware que coexisten con un firewall tradicional, todo
en el mismo chasis. Estos dispositivos, además de supervisar el tráfico buscando
contenido malicioso, también bloquean el acceso a los sitios que alojan contenido
cuestionable.
Por supuesto, estos productos no deberían considerarse como un sustituto de los
mecanismos tradicionales de protección basados en host, como los antivirus, el anti
spam o cualquier otra solución de seguridad para dispositivos de destino.
Firewalls para aplicaciones web
En el entorno de host en concreto, el monitoreo de Capa-7 podría tomar la forma de
un firewall para aplicaciones de web, que se centran específicamente en los ataques
de nivel de aplicación dirigidos a servicios web y aplicaciones.
Además de protegerse contra los ataques de web tradicionales, como cross-site
scripting e inyección SQL, estos dispositivos tienen la capacidad de comprender el
comportamiento tradicional de los clientes (es decir, los usuarios que interactúan
con el sitio), y puede rastrear y prevenir el comportamiento que se desvía de la
norma. Los firewalls para aplicaciones web están disponibles como módulos
acoplables a los chasis de firewall tradicionales para compensar cualquier déficit de
rendimiento de monitoreo de tráfico añadido a la Capa-7.
pág. 8
Esto no quiere decir que un firewall para aplicaciones web pueda reemplazar el
firewall tradicional en un entorno hospedado; la segmentación tradicional de los
diferentes niveles sigue siendo crucial.
Implementaciones de firewalls virtuales
Este enfoque se puede extender también a plataformas virtuales hospedadas. Sin
entrar en detalles (este tema merece un artículo para él solo), la segregación de
plataformas virtuales requiere que la separación de los firewalls sea implementada
en el hipervisor, controlando así el acceso a diferentes instancias virtuales en la
misma plataforma física.
Esta implementación de seguridad de VM a VM puede ser aumentada aún más con
una combinación de firewalls para aplicaciones web y tradicionales. En las
implementaciones de este tipo, el firewall tradicional todavía tiene un papel que
jugar, aunque a un nivel más amplio, aplicando la separación/protección entre
granjas de servidores virtuales. La protección de Capa-7 puede ser implementada
en los segmentos que sean considerados sensibles o críticos para el negocio.
En conclusión, dado el panorama de las amenazas, el diseño de un host seguro o
de un entorno corporativo debería incluir la ampliación de la defensa específica de
la red de los firewalls tradicionales con una combinación de protección basada en
red y en el host que se centre en la capa de aplicación: El tener sólo un dispositivo
de capa 3 hace que la protección de partes críticas de la red ya no sea suficiente.
¿QUE ES UN IPS?
IPS(Intrusion Prevention System) Dispositivos dedicados a la prevención de
intrusiones a partir de la identificación y bloqueo de patrones específicos de ataque
en su transito por la red, aparatos para esta funcionalidad se denominan IPS
(Intrusion Prevention System) y están específicamente diseñados para prestar de
manera dedicada este tipo de funcionalidades, con un base amplia de firmas y
algunas detecciones basadas en métodos relacionados con comportamiento. Esto
ha sido por largo tiempo una funcionalidad requerida en múltiples entornos.
pág. 9
Las principales funciones de los sistemas de prevención de intrusiones de identificar
la actividad maliciosa, registro de información sobre dicha actividad, intento de
bloquear / parar la actividad, y el informe de actividades.
Monitoreo de operación y soporte del dispositivo 5x8 o 7x24 según las necesidades
del cliente. Adición, eliminación y ajuste de firmas 5x8 o 7x24 según las necesidades
del cliente.
Actualización automática con verificación manual de las bases de firmas de las
funcionalidades de IPS. Actualizaciones de software(firmware) de los dispositivos
según los liberen los fabricantes y sean homologados por nuestra área de servicios.
Análisis para la definición del grupo inicial de firmas de IPS.
El dispositivo para la prestación del servicio se incluye dentro de la tarifa mensual
por el servicio. Los dispositivos administrados pueden estar ubicados en diferentes
ubicaciones físicas y tipológicas. Comunicación segura desde y hacia el SOC
(Security Operations Center) de 360 Security Group.
Soporte en sitio ante la imposibilidad del SOC para acceder remotamente al
dispositivo. Plataforma de servicios unificada y especializada para la prestación de
servicios administrados de seguridad. Diversas formas de comunicación con
nuestro SOC: Portal Seguro de Servicio, PBX y Líneas Celulares de Servicio.
Análisis de logs del dispositivo y correlación con logs de otros dispositivos
administrados que tenga contratados el cliente. Reportes de servicio con frecuencia
mensual y ante la ocurrencia de incidentes y eventos especiales.
pág. 10
Clasificacion de IPS
Los sistemas de prevención de intrusiones se puede clasificar en cuatro tipos
diferentes:
1. Basada en la red de prevención de intrusiones (PIN): los monitores de toda
la red para el tráfico sospechoso mediante el análisis de la actividad de
protocolo.
2. Sistemas de prevención de intrusiones inalámbricas (WIPS): los monitores
de una red inalámbrica para el tráfico sospechoso mediante el análisis de
protocolos de redes inalámbricas.
3. Análisis de comportamiento de la red (NBA): examina el tráfico de red para
identificar las amenazas que generan flujos de tráfico inusuales, como la
denegación de servicio distribuido (DDoS), ciertas formas de malware, y
violaciónes de política.
4. Basada en el host de prevención de intrusiones (HIPS): un paquete de
software que controla un único host para detectar actividades sospechosas
mediante el análisis de los acontecimientos que ocurren dentro de ese
sistema.
MECANISMOS DE INTRUSION DE UNA RED
Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones
(IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso
indebido de la información de una organización. Logran esta meta, recopilando la
información de una gran variedad de fuentes del sistema y de la red y analizando la
información que contribuye a los síntomas de los problemas de seguridad de la
misma, y permiten que el usuario especifique las respuestas en tiempo real a las
violaciones.
pág. 11
Los productos de detección de intrusos son aplicaciones que monitorean
activamente los sistemas operativos y el tráfico de red, con el objeto de detectar
ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan información
de una variedad de fuentes del sistema, analizan la información de los parámetros
que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la
actividad detectada, y finalmente informan el resultado del proceso de la detección.
Objetivos
Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es
necesario que cumplan con los objetivos que tienen asignados, estos consisten en
el cumplimiento de los siguientes puntos:
Vigilar y analizar la actividad de los usuarios y del sistema.
Revisar las configuraciones del sistema y de las vulnerabilidades.
Evaluar la integridad de los archivos críticos del sistema y de los datos.
Reconocimiento de los modelos de la actividad que reflejan ataques
conocidos.
Análisis estadístico para los modelos anormales de la actividad.
Gerencia del rastro de intervención del sistema operativo, con el
reconocimiento de las violaciones de la actividad del usuario respecto a la
política establecida.
Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de
la organización.
La combinación de estas características hace que sea más fácil para los encargados
del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta
actividad en curso de la intervención y de la evaluación, es una práctica necesaria
de una sana gerencia de seguridad.
pág. 12
Tipos
Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos
más comunes de estos sistemas en el mercado actual.
La meta de un IDS es proporcionar una indicación de un potencial o de un ataque
verdadero. Un ataque o una intrusión es un acontecimiento transitorio, mientras que
una vulnerabilidad representa una exposición, que lleva el potencial para un ataque
o una intrusión. La diferencia entre un ataque y una vulnerabilidad, entonces, es que
un ataque existe en un momento determinado, mientras que una vulnerabilidad
existe independientemente de la época de la observación. Otra manera de pensar
en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en
algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios
tipos de IDS.
Hay cinco diversas categorías de las identificaciones. No todas estas categorías
representan la "detección clásica de la intrusión" pero desempeñan un papel en la
meta total de intrusiones de detección o de prevención en una red corporativa. Las
categorías son:
IDS Network-based
IDS Host-based
IDS Híbridos
Inspector de la Integridad del Archivo
Explorador de la vulnerabilidad de la Red
Explorador de la vulnerabilidad del Host
Los tres primeros puntos son tipos de IDS y los tres puntos restantes son
herramientas de detección de vulnerabilidad.
Una intrusión, explota una vulnerabilidad específica y debe ser detectada cuanto
antes, después de que comience. Por esta razón, las herramientas de la detección
de la intrusión deben de ejecutarse con más frecuencia que los exploradores de
vulnerabilidad. Los sistemas de la detección de la intrusión (IDS) examinan el
sistema o la actividad de la red para encontrar intrusiones o ataques posibles.
pág. 13
Como mencionamos anteriormente, hay dos tipos básicos de sensores de IDS:
network-based y host-based. Los sensores network-based se encargan de
monitorear las conexiones de red, observar el tráfico de paquetes TCP, y así poder
determinar cuando se está realizando un ataque. Los sensores host-based se
ejecutan en los sistemas -servidores, workstations o en las máquinas de usuarios -
y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas
que pueden indicar actividad sospechosa, tal como tentativas de conexión fallidas.
Los encargados de los IDS actúan como un centro centralizado de vigilancia,
recibiendo datos de los sensores y accionando alarmas.
Referencias
CISCO. (s.f.). IPS_external_qa_clients_Spanish.pdf. Obtenido de
http://www.cisco.com/web/LA/productos/servicios/docs/IPS_external_qa_cli
ents_Spanish.pdf
informatica-hoy. (s.f.). Tipos de firewall. Obtenido de http://www.informatica-
hoy.com.ar/seguridad-informatica/Tipos-de-firewall.php
Map, M. (s.f.). Mind Map. Obtenido de Mecanismos para la deteccion de ataques e
intrusiones: http://www.mindomo.com/es/mindmap/mecanismos-para-la-
deteccion-de-ataques-e-intrusiones-baee40948b6d7c83e0f062d3b960f2a9
P06/M2107/01773, F. •. (s.f.). PDF. Obtenido de PDF: FUOC • P06/M2107/01773
tecnologiapyme. (s.f.). Protección firewall en la red de la empresa. Obtenido de
http://www.tecnologiapyme.com/productividad/ventajas-al-usar-un-
dispositivo-de-proteccion-firewall-en-la-red-de-la-empresa